cain dns

Cain与DNS相关操作详解

一、Cain简介

Cain是一款功能强大的网络安全工具，主要用于网络嗅探、ARP欺骗、密码破解等多种网络攻击和测试场景，在涉及到DNS的操作中，它可以通过ARP欺骗等手段实现对目标主机的DNS劫持，从而达到控制目标主机网络访问、获取敏感信息等目的。

二、Cain进行DNS欺骗的原理

（一）ARP协议基础

在局域网中，通信需要通过MAC地址来进行，当主机A要向主机B发送数据时，它会先检查自己的ARP缓存表，看是否有主机B的MAC地址，如果没有，主机A会发送一个ARP请求包，询问谁有主机B的IP地址，主机B收到请求后会回复一个ARP响应包，告知自己的MAC地址，这样主机A就知道了主机B的MAC地址，可以将数据发送给它。

（二）Cain的DNS欺骗原理

Cain利用ARP协议的漏洞，通过发送伪造的ARP响应包，将自己伪装成网关或其他关键设备，当目标主机发送DNS请求时，原本应该发送给真正DNS服务器的数据包会被Cain劫持，Cain可以修改DNS请求的响应，将目标主机引导到指定的虚假DNS服务器或IP地址，从而实现DNS欺骗。

三、Cain进行DNS欺骗的步骤

（一）环境准备

1、安装Cain：确保在攻击主机上正确安装了Cain软件，并且安装过程中选择了正确的网络适配器和相关依赖组件，如WinPcap等。

2、配置网络：保证攻击主机和目标主机在同一局域网内，并且能够正常通信，需要知道目标主机的IP地址、网关IP地址等信息。

（二）具体操作步骤

1、启动嗅探功能

打开Cain软件，进入“Sniffer”选项卡。

点击“Start Sniffer”按钮，开始嗅探网络数据包，此时Cain会捕获局域网内所有经过该网络适配器的数据包。

2、扫描MAC地址

在嗅探界面的空白处右键单击，选择“Scan MAC Addresses”，Cain会扫描局域网内所有在线设备的MAC地址和IP地址对应关系，并在列表中显示出来。

3、设置ARP欺骗

进入“ARP”选项卡。

在左侧列表中选择要进行欺骗的目标主机（可以是一个或多个），在右侧列表中选择要伪装的对象（通常是网关）。

点击“Add to List”按钮，将目标主机和伪装对象添加到ARP欺骗列表中。

4、开始ARP欺骗

点击左上角的“ARP”按钮，启动ARP欺骗功能，此时Cain会不断发送伪造的ARP响应包，将目标主机的ARP缓存表中对应网关的MAC地址修改为攻击主机的MAC地址，目标主机会认为攻击主机就是网关，从而将所有发往网关的数据包都发送给攻击主机。

5、进行DNS欺骗

在“ARP”选项卡的空白处右键单击，选择“Add to List”。

在弹出的对话框中，“DNS Name Requested”栏填写要欺骗的域名，www.example.com”；“IP”栏填写要解析到的虚假IP地址，192.168.1.100”。

点击“OK”按钮，完成DNS欺骗设置，当目标主机访问该域名时，会被解析到指定的虚假IP地址。

四、案例演示

假设攻击主机IP地址为192.168.1.10，目标主机IP地址为192.168.1.20，网关IP地址为192.168.1.1，我们要对目标主机进行DNS欺骗，将域名“www.baidu.com”解析到攻击主机上的某个虚假网页。

（一）操作步骤

1、在攻击主机上打开Cain，按照上述步骤启动嗅探功能并扫描MAC地址。

2、进入“ARP”选项卡，将目标主机192.168.1.20添加到左侧列表，将网关192.168.1.1添加到右侧列表，然后点击“Add to List”和“ARP”按钮，开始ARP欺骗。

3、再次在“ARP”选项卡空白处右键单击，选择“Add to List”，在“DNS Name Requested”栏填写“www.baidu.com”，在“IP”栏填写攻击主机的IP地址192.168.1.10，点击“OK”完成DNS欺骗设置。

4、在目标主机上打开浏览器，访问“www.baidu.com”，会发现页面被解析到了攻击主机上的虚假网页。

（二）抓包分析

使用Wireshark等抓包工具对网络数据包进行捕获和分析，可以看到在ARP欺骗过程中，Cain不断发送伪造的ARP响应包，修改目标主机的ARP缓存表，在DNS欺骗过程中，当目标主机发送DNS请求包时，被Cain劫持并修改响应包，将解析结果指向指定的虚假IP地址。

五、防范措施

（一）网络设备层面

1、绑定IP MAC地址：在交换机或路由器上设置静态的IP MAC地址绑定表，限制只有特定MAC地址的设备才能使用对应的IP地址，防止攻击者通过伪造MAC地址进行ARP欺骗。

2、启用ARP检测功能：一些高级的网络设备具有ARP检测功能，可以实时监测网络中的ARP流量，发现异常的ARP请求或响应包，并及时报警或采取阻断措施。

（二）主机层面

1、安装防火墙：在主机上安装防火墙软件，设置规则禁止未经授权的ARP请求和响应，以及对可疑的DNS请求进行过滤。

2、定期更新ARP缓存：手动定期清除和更新主机的ARP缓存，减少被ARP欺骗的风险，可以通过在命令行中输入“arp d *”命令来清除所有ARP缓存条目，然后重新获取正确的ARP信息。

3、使用安全的DNS服务：避免使用不可靠的公共DNS服务器，尽量使用由网络运营商或企业自行部署的安全DNS服务，并对DNS查询进行加密和认证，防止DNS劫持。

六、相关问题与解答

（一）问题

Cain进行DNS欺骗后，目标主机是否还能正常访问其他未被欺骗的域名？

（二）解答

在Cain仅对特定域名进行DNS欺骗的情况下，目标主机仍然可以正常访问其他未被欺骗的域名，因为DNS欺骗是针对特定域名的解析过程进行篡改，对于其他域名的DNS查询，目标主机还是会按照正常的流程向真正的DNS服务器发送请求并获取正确的解析结果，如果ARP欺骗导致整个网络通信出现异常，可能会影响目标主机对所有域名的访问，包括未被DNS欺骗的域名。

（三）问题

如何判断自己的主机是否遭受了Cain的ARP欺骗和DNS欺骗？

（四）解答

1、判断是否遭受ARP欺骗：可以通过查看主机的ARP缓存表来判断，在Windows系统中，打开命令提示符，输入“arp a”命令，查看本地ARP缓存表中对应网关或其他关键设备的MAC地址是否与正常情况下一致，如果发现MAC地址发生了变化，且不是自己手动修改的，那么很可能遭受了ARP欺骗，还可以观察网络连接是否正常，如果出现频繁掉线、网速变慢等异常情况，也有可能是遭受了ARP欺骗。

2、判断是否遭受DNS欺骗：可以尝试访问一些已知的域名，并使用“ping”命令查看解析到的IP地址是否正确，如果发现某个域名解析到的IP地址与平时不同，且不是自己设置的DNS服务器返回的结果，那么可能是遭受了DNS欺骗，也可以查看浏览器的访问记录和缓存，看是否有异常的跳转或重定向到陌生的网站，这可能是DNS欺骗的迹象。